I SKYRIUS
BENDROSIOS NUOSTATOS
1. Skaitmeniniuose tachografuose naudojamų identifikavimo kortelių personalizavimo ir apskaitos valstybės informacinės sistemos „Skaitis“ duomenų saugos nuostatai (toliau – Saugos nuostatai) reglamentuoja Skaitmeniniuose tachografuose naudojamų identifikavimo kortelių personalizavimo ir apskaitos valstybės informacinės sistemos „Skaitis“ (toliau – IS „Skaitis“) elektroninės informacijos saugos valdymą, organizacinius ir techninius reikalavimus, reikalavimus personalui ir supažindinimo su saugos dokumentais principus.
2. Saugos nuostatų tikslas – nustatyti reikalavimus tinkamam tarnybinių stočių, kompiuterių tinklo, kompiuterizuotų darbo vietų techninės ir programinės įrangos veikimui ir saugiam šios įrangos naudojimui, saugiu automatiniu būdu tvarkyti IS „Skaitis“ elektroninę informaciją ir užtikrinti elektroninės informacijos konfidencialumą, prieinamumą ir vientisumą; užtikrinti IS „Skaitis“ elektroninės informacijos saugą kompleksiškai naudojant administracines, technines ir programines priemones.
3. Elektroninės informacijos saugumo užtikrinimo prioritetinės kryptys:
3.1. elektroninės informacijos konfidencialumas;
3.2. elektroninės informacijos vientisumas;
3.3. elektroninės informacijos prieinamumas;
3.4. IS „Skaitis“ veiklos tęstinumas;
3.5. asmens duomenų apsauga.
4. IS „Skaitis“ valdytojas ir tvarkytojas yra Lietuvos transporto saugos administracija (toliau – Administracija), adresas: Švitrigailos g. 42, LT-03209 Vilnius, Lietuva.
5. Saugų IS „Skaitis“ duomenų tvarkymą reglamentuoja:
5.1. 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentas (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas);
5.2. Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymas;
5.3. Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatymas;
5.4. Lietuvos Respublikos kibernetinio saugumo įstatymas;
5.5. Bendrųjų elektroninės informacijos saugos reikalavimų aprašas, Saugos dokumentų turinio gairių aprašas ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašas, patvirtinti Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“;
5.6. Techninis valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų aprašas ir Informacinių technologijų saugos atitikties vertinimo metodika, patvirtinti Lietuvos Respublikos krašto apsaugos ministro 2020 m. gruodžio 4 d. įsakymu Nr. V-941 „Dėl Techninių valstybės registrų (kadastrų), žinybinių registrų, valstybės informacinių sistemų ir kitų informacinių sistemų elektroninės informacijos saugos reikalavimų aprašo ir Informacinių technologijų saugos atitikties vertinimo metodikos patvirtinimo“;
5.7. aktualūs Lietuvos standartai LST ISO/IEC 27001 „Informacinės technologijos. Saugumo metodai. Informacijos saugumo valdymo sistemos. Reikalavimai“ ir LST ISO/IEC 27002 „Informacinės technologijos. Saugumo metodai. Informacijos saugumo kontrolės priemonių praktikos nuostatai“, Lietuvos ir tarptautiniai standartai, nustatantys saugų elektroninės informacijos tvarkymą;
5.8. kiti teisės aktai, reglamentuojantys elektroninės informacijos saugą.
6. Saugos nuostatuose vartojamos sąvokos atitinka sąvokas, vartojamas:
6.1. Reglamentas (ES) 2016/679;
6.2. Lietuvos Respublikos valstybės informacinių išteklių valdymo įstatyme;
6.3. Bendrųjų elektroninės informacijos saugos reikalavimų apraše, Saugos dokumentų turinio gairių apraše ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių apraše, patvirtintuose Lietuvos Respublikos Vyriausybės 2013 m. liepos 24 d. nutarimu Nr. 716 „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų aprašo, Saugos dokumentų turinio gairių aprašo ir Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo patvirtinimo“;
6.4. Nacionalinėje kibernetinio saugumo strategijoje, patvirtintoje Lietuvos Respublikos Vyriausybės 2018 m. rugpjūčio 13 d. nutarimu Nr. 818 „Dėl Lietuvos Respublikos kibernetinio saugumo įstatymo įgyvendinimo“;
6.5. Skaitmeniniuose tachografuose naudojamų identifikavimo kortelių personalizavimo ir apskaitos informacinės sistemos „Skaitis“ nuostatuose, patvirtintuose Valstybinės kelių transporto inspekcijos prie Susisiekimo ministerijos viršininko 2009 m. liepos 31 d. įsakymu Nr. 2B-298 „Dėl informacinės sistemos „Skaitis“ nuostatų tvirtinimo“;
6.6. aktualiuose Lietuvos standartuose LST ISO/IEC 27001 „Informacinės technologijos. Saugumo metodai. Informacijos saugumo valdymo sistemos. Reikalavimai“ ir LST ISO/IEC 27002 „Informacinės technologijos. Saugumo metodai. Informacijos saugumo kontrolės priemonių praktikos nuostatai“.
II SKYRIUS
IS „SKAITIS“ VALDYTOJAS, TVARKYTOJAS IR ADMINISTRATORIUS
7. IS „Skaitis“ valdytojo ir tvarkytojo funkcijos, teisės ir pareigos:
7.1. už elektroninės informacijos saugą pagal kompetenciją atsako IS „Skaitis“ valdytojas ir IS „Skaitis“ tvarkytojas;
7.2. IS „Skaitis“ valdytojas atsako už saugos politikos formavimą ir įgyvendinimo organizavimą, priežiūrą ir elektroninės informacijos tvarkymo teisėtumą;
7.3. IS „Skaitis“ tvarkytojas atsako už reikiamų administracinių, techninių ir organizacinių saugos priemonių įgyvendinimą, užtikrinimą ir laikymąsi Saugos nuostatuose ir saugos politiką įgyvendinančiuose dokumentuose nustatyta tvarka.
8. IS „Skaitis“ saugos įgaliotinio funkcijos ir atsakomybė:
8.1. organizuoja kibernetinių incidentų valdymą, tyrimą, kibernetinio saugumo dokumentų, reglamentuojančių IS „Skaitis“ kibernetinio saugumo politiką ir jos įgyvendinimą, patvirtinimą, techninių kibernetinio saugumo reikalavimų įgyvendinimą;
8.2. teikia duomenis apie elektroninės informacijos saugos (kibernetinio saugumo) reikalavimų įgyvendinimą, kaip tai nustatyta Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemos nuostatuose, patvirtintuose Lietuvos Respublikos krašto apsaugos ministro 2018 m. gruodžio 11 d. įsakymu Nr. V-1183 „Dėl Valstybės informacinių išteklių atitikties elektroninės informacijos saugos reikalavimams stebėsenos sistemos nuostatų patvirtinimo“;
8.3. teikia IS „Skaitis“ valdytojui pasiūlymus dėl:
8.3.1. IS „Skaitis“ administratoriaus (-ių) paskyrimo ir reikalavimų administratoriui nustatymo;
8.3.2. informacinių technologijų saugos atitikties vertinimo atlikimo;
8.3.3. saugos dokumentų priėmimo ir (ar) keitimo;
8.4. koordinuoja elektroninės informacijos saugos incidentų, įvykusių IS „Skaitis“, tyrimą ir bendradarbiauja su kompetentingomis institucijomis, tiriančiomis elektroninių ryšių tinklų, informacijos saugumo incidentus, neteisėtas veikas, susijusias su elektroninės informacijos saugos incidentais, išskyrus atvejus, kai šią funkciją atlieka elektroninės informacijos saugos darbo grupės;
8.5. informuoja IS „Skaitis“ valdytoją ir kompetentingas institucijas apie neteisėtą veiką, pažeidžiančią ar neišvengiamai pažeisiančią IS „Skaitis“ saugą;
8.6. teikia IS „Skaitis“ naudotojams ir IS „Skaitis“ administratoriui privalomus vykdyti nurodymus ir pavedimus, susijusius su saugos politikos įgyvendinimu;
8.7. organizuoja IS „Skaitis“ saugos rizikos įvertinimą;
8.8. organizuoja IS „Skaitis“ naudotojų mokymą elektroninės informacijos saugos klausimais, įvairiais būdais informuoja juos apie elektroninės informacijos saugos problemas;
8.9. atlieka kituose teisės aktuose jam priskirtas kitas funkcijas.
9. IS „Skaitis“ administratoriaus funkcijos ir atsakomybė:
9.1. registruoja IS „Skaitis“ naudotojus IS „Skaitis“ testavimo ir (ar) darbo aplinkoje, jiems suteikia prisijungimo vardus ir slaptažodžius (autentifikavimo duomenis), teises ir leidžiamus veiksmus IS „Skaitis“ (autorizavimo duomenis);
9.2. tvarko IS „Skaitis“ klasifikatorių ir IS „Skaitis“ veikimo parametrų įrašus;
9.3. atsako už nepertraukiamą IS „Skaitis“ veikimą;
9.4. dalyvauja valdant IS „Skaitis“ pokyčius, pagal kompetenciją juos įgyvendina;
9.5. atsako už elektroninių duomenų atsarginių kopijų darymą;
9.6. dalyvauja atkuriant IS „Skaitis“ elektroninius duomenis iš duomenų atsarginių kopijų;
9.7. perkelia elektroninius duomenis į IS „Skaitis“ duomenų archyvą ir tvarko elektroninių duomenų perkėlimo įrašų žurnalą;
9.8. naikina elektroninius duomenis IS „Skaitis“ duomenų archyvuose ir tvarko elektroninių duomenų naikinimo įrašų žurnalą;
9.9. tvarko IS „Skaitis“ eksploatacijos žurnalą;
9.10. moko IS „Skaitis“ naudotojus, juos konsultuoja;
9.11. vykdo saugos įgaliotinio nurodymus ir pavedimus, susijusius su IS „Skaitis“ politikos įgyvendinimu;
9.12. informuoja IS „Skaitis“ saugos įgaliotinį apie saugos dokumentuose nustatytus reikalavimų pažeidimus, nusikalstamos veikos požymius, neveikiančias arba netinkamai veikiančias saugos užtikrinimo priemones;
9.13. atlieka kitas IS „Skaitis“ valdytojo pavestas funkcijas.
III SKYRIUS
ELEKTRONINĖS INFORMACIJOS SAUGOS VALDYMAS
10. Įvertinus informacijos konfidencialumo, vientisumo ir (ar) prieinamumo galimo praradimo neigiamą poveikį ir vadovaujantis Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo 9 punkto nuostatomis, IS „Skaitis“ tvarkoma informacija priskiriama vidutinės svarbos informacijos kategorijai.
11. Atsižvelgiant į informacijos svarbos kategoriją ir vadovaujantis Elektroninės informacijos, sudarančios valstybės informacinius išteklius, svarbos įvertinimo ir valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių aprašo 12.3 papunkčio nuostata, IS „Skaitis“ priskiriama trečiajai informacinių sistemų klasifikavimo kategorijai.
12. IS „Skaitis“ rizikos įvertinimas (toliau – rizikos įvertinimas) atliekamas vadovaujantis šiomis nuostatomis:
12.1. rizikos įvertinimas atliekamas ne rečiau kaip kartą per metus, jeigu teisės aktai nenustato kitaip;
12.2. neeilinis rizikos įvertinimas atliekamas padarius esminius IS „Skaitis“ funkcinius pakeitimus arba kai įvyksta dideli Administracijos organizaciniai pokyčiai, arba kai atsiranda naujų informacinių technologijų saugos srities reikalavimų, arba po didelio masto saugos incidentų, kai nustatoma naujų rizikos formų;
12.3. atliekant rizikos įvertinimą vadovaujamasi Lietuvos Respublikos vidaus reikalų ministerijos metodine priemone „Rizikos analizės vadovas“, Saugos nuostatų 5.7 papunktyje nurodytais standartais, geriausiomis praktikomis (COBIT ar kitomis) ir kitais elektroninės informacijos saugą reglamentuojančiais teisės aktais;
12.4. taikoma detali rizikos analizės strategija, kokybiniai rizikos analizės metodai;
12.5. įvertinami rizikos veiksniai, galintys turėti įtakos elektroninės informacijos saugai, jų galima žala, pasireiškimo tikimybė ir pobūdis, galimi rizikos valdymo būdai, rizikos priimtinumo kriterijai, atsižvelgiant į Bendrųjų elektroninės informacijos saugos reikalavimų aprašo 36 punkto nuostatas.
13. Rizikos įvertinimas atliekamas vadovaujantis šiais kriterijais:
13.1. organizacijos valdymo ir veiklos sutrikdymas;
13.2. asmens duomenų saugumas;
13.3. teisės aktų reikalavimų nesilaikymas;
13.4. finansiniai nuostoliai;
13.5. tarptautiniai santykiai;
13.6. viešosios paslaugos;
14. Rizikos įvertinimas apima:
14.1. vertinamų informacinių išteklių sąrašo sudarymą bei pagrindinių informacinių išteklių savybių nustatymą (informacinių išteklių įtaka, priklausomybė, vieta, už jų saugų tvarkymą atsakingi asmenys ir kt.);
14.2. potencialių grėsmių sąrašo sudarymą;
14.3. galimų grėsmių priskyrimą kiekvienam informaciniam ištekliui;
14.4. potencialaus įvykio kiekvienai informacinio ištekliaus ir grėsmės porai tikimybės nustatymą;
14.5. rizikos priimtinumo nustatymą;
14.6. liekamosios rizikos apskaičiavimą;
14.7. rekomendacijų rizikos mažinimui pateikimą.
15. Rizikos įvertinimą, vadovaujantis Bendrųjų elektroninės informacijos saugos reikalavimų aprašo 35 punkto nuostatomis, atlieka saugos įgaliotinis arba sutartiniais pagrindais samdomi tretieji asmenys.
16. Pagrindinės IS „Skaitis“ saugos rizikos mažinimo priemonės pateikiamos IS „Skaitis“ rizikos įvertinimo ataskaitoje, kurią iki IS „Skaitis“ valdytojo nurodytos datos rengia IS „Skaitis“ saugos įgaliotinis. IS „Skaitis“ saugos įgaliotinis dalyvauja rengiant IS „Skaitis“ rizikos įvertinimo ataskaitą, jei rizikos įvertinimą atlieka trečioji šalis.
17. IS „Skaitis“ valdytojas, atsižvelgęs į rizikos įvertinimo ataskaitą, prireikus tvirtina IS „Skaitis“ saugos rizikos įvertinimo ir rizikos valdymo priemonių planą, kuriame numatomas techninių, administracinių ir kitų priemonių poreikis saugos rizikos valdymo priemonėms įgyvendinti.
18. Už IS „Skaitis“ saugos rizikos vertinimo organizavimą ir atlikimą atsakingas IS „Skaitis“ saugos įgaliotinis.
19. Siekiant užtikrinti Saugos nuostatuose ir kituose saugos politiką įgyvendinančiuose teisės aktuose išdėstytų nuostatų įgyvendinimo kontrolę IS „Skaitis“ informacinių technologijų saugos atitikties vertinimas atliekamas ne rečiau kaip kartą per dvejus metus, jei teisės aktai nenustato kitaip:
19.1. IS „Skaitis“ informacinių technologijų saugos atitikties vertinimą atlieka IS „Skaitis“ valdytojo sudaryta darbo grupė; prireikus IS „Skaitis“ informacinių technologijų saugos atitikties vertinimą pagal sutartį gali atlikti tretieji asmenys;
19.2. IS „Skaitis“ informacinių technologijų saugos atitikties vertinimo metu tikrinama, kaip IS „Skaitis“ veikimas atitinka Saugos nuostatų, kitų elektroninės informacijos saugą reglamentuojančių teisės aktų ir dokumentų reikalavimus;
19.3. tikrinamas įdiegtos antivirusinės ir apsaugos nuo nepageidaujamos programinės įrangos filtravimo sistemų naudojimas, centralizuotas jų valdymas ir atnaujinimas;
19.4. tikrinamas programinės įrangos, programinės įrangos sertifikatų ir licencijų naudojimas;
19.5. tikrinamas IS „Skaitis“ naudotojų kompiuterizuotų darbo vietų (ne mažiau kaip 10 procentų) naudojimas;
19.6. tikrinamas tarnybinių stočių ir komunikacinės įrangos naudojimas;
19.7. tikrinama, kaip daromos duomenų bazių atsarginės kopijos ir archyvai;
19.8. tikrinamas pasirengimas atkurti IS „Skaitis“ veiklą elektroninės informacijos saugos (kibernetinio) incidento atveju;
19.9. tikrinama, kaip IS „Skaitis“ naudotojams suteiktos teisės IS „Skaitis“ atitinka naudotojų atliekamas funkcijas.
20. Įvertinus IS „Skaitis“ informacinių technologijų saugos atitiktį, parengiama informacinių technologijų saugos atitikties vertinimo ataskaita ir, jei reikia, pastebėtų trūkumų šalinimo planas, kurį tvirtina, paskiria atsakingus vykdytojus ir nustato įgyvendinimo terminus IS „Skaitis“ valdytojas.
21. Elektroninės informacijos saugos priemonėms parinkti taikomi šie principai:
21.1. parenkamos priemonės, kurios leidžia užtikrinti patalpų saugą;
21.2. parenkamos priemonės, kurios leidžia užtikrinti kompiuterinės ir programinės įrangos veikimo saugą;
21.3. parenkamos priemonės, kurios leidžia užtikrinti kompiuterių tinklų veikimo saugą;
21.4. parenkamos priemonės, kurios leidžia užtikrinti IS „Skaitis“ naudotojų mokymą ir informavimą apie elektroninių duomenų tvarkymo saugą.
22. Elektroninės informacijos saugos priemonės turi garantuoti:
22.1. elektroninių duomenų saugą jų registravimo ir perdavimo ryšio kanalais, saugojimo, apdorojimo, teikimo ir naudojimo metu;
22.2. elektroninių duomenų saugą nuo nesankcionuoto ar neteisėto naudojimo, kaupimo, keitimo, perdavimo, skelbimo ir sunaikinimo ar kitokio pažeidimo.
IV SKYRIUS
ORGANIZACINIAI IR TECHNINIAI REIKALAVIMAI
23. Programinės įrangos, skirtos IS „Skaitis“ apsaugoti nuo kenksmingos programinės įrangos (virusų, šnipinėjimo programinės įrangos, nepageidaujamo elektroninio pašto ir panašiai), naudojimo nuostatos ir jos atnaujinimo reikalavimai:
23.1. tarnybinėse stotyse ir kompiuterizuotose darbo vietose turi būti įdiegta centralizuotai valdoma apsauga nuo kenksmingos programinės įrangos;
23.2. tarnybinės stotys ir kompiuterizuotos darbo vietos turi būti apsaugotos nuo brukalų ir nepageidaujamo turinio laiškų;
23.3. apsaugai nuo kenksmingos programinės įrangos naudojama programinė įranga turi atsinaujinti ne rečiau kaip kartą per 24 valandas;
23.4. apsaugos nuo kenksmingos programinės įrangos sistema turi automatiškai elektroniniu paštu informuoti atsakingus darbuotojus apie kompiuterizuotas darbo vietas ir tarnybines stotis, kuriose apsaugos nuo kenksmingos programinės įrangos sistema funkcionuoja netinkamai, yra išjungta arba neatsinaujino per 24 valandas.
24. Programinės įrangos, įdiegtos kompiuteriuose ir tarnybinėse stotyse, naudojimo nuostatos:
24.1. IS „Skaitis“ veikti naudojama tik legali programinė įranga;
24.2. IS „Skaitis“ naudotojų kompiuterizuotose darbo vietose draudžiama naudoti programinę įrangą, nesusijusią su tiesiogine jų veikla ir funkcijomis;
24.3. programinė įranga yra nuolat atnaujinama laikantis gamintojo reikalavimų;
24.4. programinę įrangą diegia, šalina ir konfigūruoja tik atitinkami administratoriai;
24.5. kompiuterizuotos darbo vietos, programinė įranga, jos sertifikatai ir licencijos kasmet turi būti inventorizuojami.
25. Kompiuterių tinklo filtravimo įrangos (užkardų, turinio kontrolės sistemų, įgaliotųjų serverių programinės įrangos) naudojimo nuostatos:
25.1. IS „Skaitis“ naudojami kompiuterių tinklai nuo kitų kompiuterių tinklų turi būti atskirti tinklo užkardomis;
25.2. viešuoju kompiuterių tinklu gaunamas duomenų srautas turi būti filtruojamas;
25.3. turi būti naudojama programinė įranga, leidžianti atlikti IS „Skaitis“ naudojamų kompiuterių tinklų monitoringą ir užtikrinanti šių tinklų saugos prevencijos priemones;
25.4. už saugų Administracijos teritorinio kompiuterių tinklo veikimą atsako šio tinklo administratorius.
26. Kompiuterizuotų darbo vietų, kuriose veikia IS „Skaitis“, saugaus naudojimo nuostatos ir reikalavimai:
26.1. kompiuterizuota darbo vieta turi būti naudojama tik su IS „Skaitis“ ir kitomis Administracijoje naudojamomis informacinėmis sistemomis pagal naudotojo kompetenciją susijusioms funkcijoms vykdyti;
26.2. staliniuose ir nešiojamuosiuose kompiuteriuose įjungiant IS „Skaitis“ turi būti naudojamas IS „Skaitis“ naudotojo identifikavimas; įjungiant kompiuterizuotas darbo vietas turi būti naudojamas įjungimo (angl. power on) slaptažodis.
27. Saugaus elektroninės informacijos teikimo ir gavimo metodai:
27.1. duomenys IS „Skaitis“ perduodami naudojant TCP/IP protokolą realiu laiku (on-line režimu);
27.2. nuotolinis prisijungimas galimas tik administratoriaus suteiktais unikaliais prisijungimo vardais ir slaptažodžiais naudojant virtualų privatų tinklą (VPN);
27.3. iš duomenų gavėjų elektroniniai duomenys gaunami pagal duomenų teikimo sutartis, kuriose numatytos elektroninių duomenų perdavimo technologijos, jų šifravimo mechanizmai, specifikacijos ir kitos sąlygos; duomenų gavėjų prieigą prie IS „Skaitis“ kontroliuoja Administracijos teritorinio kompiuterių tinklo užkarda.
28. Nustatomi šie pagrindiniai atsarginių elektroninių duomenų kopijų darymo ir atkūrimo reikalavimai:
28.1. turi būti sudaromi IS „Skaitis“ elektroninių duomenų, kurių kopijos daromos, sąrašai;
28.2. elektroninių duomenų atsarginės kopijos ir archyvai turi būti daromi ir duomenys iš jų atkuriami vadovaujantis IS „Skaitis“ valdytojo patvirtinta tvarka;
28.3. elektroninių duomenų atsarginės kopijos turi būti daromos automatiškai kiekvieną dieną nuo tarnybinių stočių patalpų nutolusiose patalpose esančiame elektroninių duomenų kopijų darymo įrenginyje;
28.4. elektroniniai duomenys į duomenų archyvą perkeliami, pasibaigus duomenų tvarkymo IS „Skaitis“ terminui;
28.5. elektroninių duomenų atsarginėms kopijoms daryti turi būti naudojama speciali programinė įranga.
V SKYRIUS
REIKALAVIMAI PERSONALUI
29. IS „Skaitis“ naudotojai turi turėti ne prastesnius darbo kompiuteriu įgūdžius, nei numatyta jų pareigybių aprašymuose.
30. Saugos įgaliotinis privalo išmanyti šiuolaikinių informacinių technologijų panaudojimo ypatumus, elektroninės informacijos saugos principus bei saugos užtikrinimo metodus, kitus su informacinių sistemų saugiu veikimu susijusius teisės aktus, turėti darbo organizavimo gabumų.
31. Saugos įgaliotiniu negali būti skiriamas asmuo, turintis neišnykusį ar nepanaikintą teistumą už nusikaltimą elektroninių duomenų ir informacinių sistemų saugumui, taip pat paskirtą administracinę nuobaudą už neteisėtą asmens duomenų tvarkymą ir privatumo apsaugos pažeidimą elektroninių ryšių srityje, elektroninių ryšių išteklių naudojimo ir skyrimo taisyklių pažeidimą, elektroninių ryšių tinklo gadinimą ar savavališką prisijungimą prie tinklo arba galinių įrenginių, kurie trukdo elektroninių ryšių tinklo darbui, savavališką prisijungimą arba elektroninių ryšių infrastruktūros įrengimo, naudojimo ir apsaugos sąlygų ir taisyklių pažeidimą, jeigu nuo jos paskyrimo praėję mažiau kaip vieneri metai.
32. IS „Skaitis“ administratorius privalo išmanyti kompiuterizuotos veiklos procesus, elektroninės informacijos saugos užtikrinimo metodus ir principus, būti susipažinęs su naudojamų duomenų bazių organizavimo principais, gebėti jas administruoti, išmanyti tarnybinių stočių veikimo principus. IS „Skaitis“ administratoriaus kvalifikacija turi būti nuolat keliama jam dalyvaujant atitinkamuose kvalifikacijos kėlimo kursuose.
33. Naudotojai privalo rūpintis tvarkomų duomenų saugumu: vadovaudamiesi saugos politikos įgyvendinamaisiais dokumentais, nuolat rūpintis IS „Skaitis“ sauga, o pastebėję pažeidimų, neveikiančias duomenų saugos užtikrinimo priemones, nusikalstamos veikos požymių privalo nedelsdami apie tai pranešti IS „Skaitis“ administratoriui arba saugos įgaliotiniui.
34. Saugos įgaliotinis IS „Skaitis“ administratoriui ir naudotojams periodiškai, bet ne rečiau kaip kartą per dvejus metus organizuoja mokymus elektroninės informacijos saugos ir kibernetinio saugumo klausimais, įvairiais būdais primena apie saugumo problemas (pvz., siunčia pranešimus elektroniniu paštu, instruktuoja naujus darbuotojus ir pan.) ir, jeigu žinoma, galimas taikyti prevencines ar kitas reagavimo priemones.
VI SKYRIUS
IS „SKAITIS“ NAUDOTOJŲ SUPAŽINDINIMO SU SAUGOS DOKUMENTAIS PRINCIPAI
35. Tvarkyti IS „Skaitis“ duomenis gali tik darbuotojai, kurie yra susipažinę su Saugos nuostatais, saugos politikos įgyvendinamaisiais dokumentais, pasirašę pasižadėjimą saugoti asmens duomenų paslaptį ir susipažinę su atsakomybe už Reglamento (ES) 2016/679 ar kitų elektroninės informacijos saugą reglamentuojančių teisės aktų nuostatų pažeidimus. Ši pareiga galioja ir pasitraukus iš valstybės tarnybos, perėjus dirbti į kitas pareigas arba pasibaigus darbo, sutartiniams ar kitiems santykiams.
36. Už IS „Skaitis“ naudotojų supažindinimą su šiais Saugos nuostatais ir kitais saugos politiką įgyvendinančiais teisės aktais ir už šių reikalavimų laikymąsi yra atsakingas IS „Skaitis“ saugos įgaliotinis.
37. IS „Skaitis“ saugos įgaliotinis raštu informuoja IS „Skaitis“ naudotojus apie tai, kur jie gali susipažinti su Saugos nuostatais ir kitais saugos politiką įgyvendinančiais dokumentais.
38. Su šiais Saugos nuostatais ir kitais saugos politiką įgyvendinančiais teisės aktais IS „Skaitis“ naudotojai supažindinami IS „Skaitis“ tvarkytojo naudojamoje dokumentų valdymo sistemoje.
39. Pakartotinai su saugos politiką reguliuojančiais teisės aktais IS „Skaitis“ naudotojai supažindinami tik iš esmės pasikeitus informacijos saugą reguliuojantiems teisės aktams. Informacija apie pasikeitimus saugos politiką įgyvendinančiuose teisės aktuose siunčiama elektroniniu būdu.
